Le 18 juillet 2025, une vulnérabilité critique de type “zero-day”, identifiée sous le nom de CVE-2025-54309, a été dévoilée par CrushFTP. Cette faille a été activement exploitée, potentiellement depuis une période prolongée, permettant aux acteurs malveillants d’obtenir un accès à distance via HTTP(S) en procédant à une ingénierie inverse du code et en exploitant un bug précédemment corrigé. Cette vulnérabilité découle d’une gestion inadéquate de la validation AS2. Notamment, les systèmes utilisant l’instance proxy DMZ ne sont pas affectés. Étant donné l’historique des attaques ciblées sur les solutions de transfert de fichiers comme CrushFTP, il est prévu que CVE-2025-54309 continue d’être un point d’intérêt pour les cybercriminels. Plus tôt cette année, une autre vulnérabilité de CrushFTP, CVE-2025-31161, a également été largement exploitée. Pour atténuer les risques, il est fortement conseillé aux utilisateurs de mettre à jour vers les dernières versions corrigées : CrushFTP 10 vers la version 10.8.5 et CrushFTP 11 vers la version 11.3.4_23. Pour ceux qui ne peuvent pas appliquer les correctifs immédiatement, le déploiement de l’instance proxy DMZ offre une protection temporaire.
Qu’est-ce que CVE-2025-54309 ?
